Microsoft Defender for Endpoint käyttöönotto Linuxissa Ansiblen avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan Defender for Endpointin käyttöönotto Linuxissa Ansiblen avulla. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:

• Perehdytyspaketin lataaminen
• Create Ansible YAML -tiedostot
• Käyttöönotto
• Lisätietoja

Tärkeää

Tässä artikkelissa on tietoja kolmannen osapuolen työkaluista. Tämä auttaa integrointitilanteissa, mutta Microsoft ei tarjoa vianmääritystukea kolmannen osapuolen työkaluille.
Pyydä tukea kolmannen osapuolen toimittajalta.

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso Defender for Endpoint on Linux -pääsivulta kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.

Lisäksi Jos kyseessä on Ansible-käyttöönotto, sinun on tunnettava Ansible-hallintatehtävät, määritettävä Ansible ja tiedettävä, miten voit ottaa käyttöön toistokirjoja ja tehtäviä. Ansible voi suorittaa saman tehtävän monella eri tavalla. Näissä ohjeissa oletetaan, että tuetut Ansible-moduulit, kuten apt ja unchive , ovat käytettävissä paketin käyttöönoton helpottamiseksi. Organisaatiosi saattaa käyttää eri työnkulkua. Lisätietoja on Ansible-dokumentaatiossa .

• Ansible on asennettava vähintään yhteen tietokoneeseen (Ansible kutsuu tätä ohjausobjektisolmuksi).

• SSH on määritettävä järjestelmänvalvojatiliksi ohjausobjektisolmun ja kaikkien hallittujen solmujen välillä (laitteet, joissa on asennettuna Defender for Endpoint), ja on suositeltavaa määrittää julkisen avaimen todennus.

• Seuraavat ohjelmistot on asennettava kaikkiin hallittuihin solmuihin:

  • Curl
  • python-apt (jos otat käyttöön jakeluissa käyttämällä apt-toimintoa paketinhallintana)

• Kaikkien hallittujen solmujen on oltava seuraavassa muodossa tai asianmukaisessa tiedostossa /etc/ansible/hosts :

  [servers]
  host1 ansible_ssh_host=10.171.134.39
  host2 ansible_ssh_host=51.143.50.51
  

• Ping-testi:

  ansible -m ping all
  

Perehdytyspaketin lataaminen

Lataa perehdytyspaketti Microsoft Defender portaalista.

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

1. Siirry Microsoft Defender portaalissa kohtaan Asetukset > Päätepisteet Laitteiden hallinnan > perehdytys>.

2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse toisesta avattavasta valikosta Haluamasi Linux-määritysten hallintatyökalu käyttöönottomenetelmäksi.

3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto WindowsDefenderATPOnboardingPackage.zip.

   

4. Tarkista komentokehotteesta, että sinulla on tiedosto. Poimi arkiston sisältö:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  4984 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: mdatp_onboard.json
   

Create Ansible YAML -tiedostot

Create alitehtävää tai roolitiedostoja, jotka osallistuvat pelikirjaan tai tehtävään.

• Create perehdyttämistehtävän: onboarding_setup.yml

  - name: Create MDATP directories
    file:
      path: /etc/opt/microsoft/mdatp/
      recurse: true
      state: directory
      mode: 0755
      owner: root
      group: root
  
  - name: Register mdatp_onboard.json
    stat:
      path: /etc/opt/microsoft/mdatp/mdatp_onboard.json
    register: mdatp_onboard
  
  - name: Extract WindowsDefenderATPOnboardingPackage.zip into /etc/opt/microsoft/mdatp
    unarchive:
      src: WindowsDefenderATPOnboardingPackage.zip
      dest: /etc/opt/microsoft/mdatp
      mode: 0600
      owner: root
      group: root
    when: not mdatp_onboard.stat.exists
  

• Lisää Defender for Endpoint -säilö ja avain, add_apt_repo.yml:

  Defender for Endpoint linuxissa voidaan ottaa käyttöön jostakin seuraavista kanavista (kuva alla muodossa [kanava]): insider-käyttäjät nopeasti, insider-hitaita tai prod-kanavia. Jokainen näistä kanavista vastaa Linux-ohjelmistosäilöä.

  Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, ja niitä seuraavat myöhemmin insider-käyttäjät, jotka ovat hitaita ja viimeiseksi prod.

  Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa määrittää jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

  Varoitus

  Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laite uudelleen käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

  Huomaa jakelu ja versio ja määritä sen lähin merkintä kohdassa https://packages.microsoft.com/config/[distro]/.

  Korvaa seuraavissa komennoissa [distro] ja [version] tunnistamillasi tiedoilla.

  Huomautus

  Oracle Linuxin ja Amazon Linux 2:n tapauksessa korvaa [distro] arvolla "rhel". Korvaa Amazon Linux 2:ssa [versio] arvolla "7". Korvaa Oracle Linuxissa [versio] Oracle Linux -versiolla.

  - name: Add Microsoft APT key
    apt_key:
      url: https://packages.microsoft.com/keys/microsoft.asc
      state: present
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft apt repository for MDATP
    apt_repository:
      repo: deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/[distro]/[version]/prod [codename] main
      update_cache: yes
      state: present
      filename: microsoft-[channel]
    when: ansible_os_family == "Debian"
  
  - name: Add Microsoft DNF/YUM key
    rpm_key:
      state: present
      key: https://packages.microsoft.com/keys/microsoft.asc
    when: ansible_os_family == "RedHat"
  
  - name: Add  Microsoft yum repository for MDATP
    yum_repository:
      name: packages-microsoft-[channel]
      description: Microsoft Defender for Endpoint
      file: microsoft-[channel]
      baseurl: https://packages.microsoft.com/[distro]/[version]/[channel]/ 
      gpgcheck: yes
      enabled: Yes
    when: ansible_os_family == "RedHat"
  

• Create Ansible-asennusta ja poista YAML-tiedostojen asennus.

  • Käytä apt-pohjaisissa jakeluissa seuraavaa YAML-tiedostoa:

    cat install_mdatp.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_apt_repo.yml
        - name: Install MDATP
          apt:
            name: mdatp
            state: latest
            update_cache: yes
    

    cat uninstall_mdatp.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          apt:
            name: mdatp
            state: absent
    

  • Dnf-pohjaisissa jakeluissa käytetään seuraavaa YAML-tiedostoa:

    cat install_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - include: ../roles/onboarding_setup.yml
        - include: ../roles/add_yum_repo.yml
        - name: Install MDATP
          dnf:
            name: mdatp
            state: latest
            enablerepo: packages-microsoft-[channel]
    

    cat uninstall_mdatp_dnf.yml
    

    - hosts: servers
      tasks:
        - name: Uninstall MDATP
          dnf:
            name: mdatp
            state: absent
    

Käyttöönotto

Suorita tehtävätiedostot /etc/ansible/playbooks/ tai asianmukainen hakemisto.

• Asennus:

  ansible-playbook /etc/ansible/playbooks/install_mdatp.yml -i /etc/ansible/hosts
  

Tärkeää

Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Internet-yhteydestä riippuen tämä voi kestää muutaman minuutin.

• Vahvistus/määritys:

  ansible -m shell -a 'mdatp connectivity test' all
  

  ansible -m shell -a 'mdatp health' all
  

• Uninstallation:

  ansible-playbook /etc/ansible/playbooks/uninstall_mdatp.yml -i /etc/ansible/hosts
  

Kirjaa asennusongelmat

Lisätietoja asennusohjelman luoman automaattisesti luodun lokin löytämisestä virheen tapahtuessa on kohdassa Kirjaa asennusongelmat .

Käyttöjärjestelmän päivitykset

Kun päivität käyttöjärjestelmäsi uuteen pääversioon, sinun on ensin poistettava Defender for Endpoint Linuxissa, asennettava päivitys ja lopuksi määritettävä Defender for Endpoint Linuxiin laitteessasi.

Lisätietoja

• YUM-säilöjen lisääminen tai poistaminen

• Pakettien hallinta dnf-paketinhallinnassa

• Lisää ja poista APT-säilöjä

• Apt-pakettien hallinta

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tutki agentin kunto-ongelmia

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.